Bővített HTTP
A következőre vonatkozik: Configuration Manager (aktuális ág)
A Microsoft a HTTPS-kommunikáció használatát javasolja az összes Configuration Manager kommunikációs útvonalhoz, de egyes ügyfelek számára kihívást jelent a PKI-tanúsítványok kezelésével kapcsolatos többletterhelés. A továbbfejlesztett HTTP-vel a Configuration Manager biztonságos kommunikációt biztosíthat azáltal, hogy önaláírt tanúsítványokat bocsát ki adott helyrendszereknek.
Ennek a konfigurációnak két elsődleges célja van:
A bizalmas ügyfélkommunikáció biztonságossá tételéhez nincs szükség PKI-kiszolgálóhitelesítési tanúsítványokra.
Az ügyfelek biztonságosan hozzáférhetnek a terjesztési pontokról származó tartalmakhoz anélkül, hogy hálózati hozzáférési fiókra, PKI-ügyféltanúsítványra vagy Windows-hitelesítésre van szükség.
Minden más ügyfélkommunikáció HTTP-kapcsolaton keresztül történik. A továbbfejlesztett HTTP nem ugyanaz, mint a HTTPS engedélyezése az ügyfélkommunikációhoz vagy a helyrendszerhez.
Megjegyzés:
A PKI-tanúsítványok továbbra is érvényesek az alábbi követelményekkel rendelkező ügyfelek számára:
- Minden ügyfélkommunikáció HTTPS-en keresztül történik
- Az aláíró infrastruktúra speciális vezérlése
Ha már használja a PKI-t, a helyrendszerek akkor is az IIS-ben kötött PKI-tanúsítványt használják, ha engedélyezi a továbbfejlesztett HTTP-t.
Forgatókönyvek
A következő forgatókönyvek a továbbfejlesztett HTTP előnyeit élvezik:
1. forgatókönyv: Ügyféltől felügyeleti pontig
Microsoft Entra csatlakoztatott eszközök és eszközök Configuration Manager kiadott jogkivonattal kommunikálhatnak a HTTP-hez konfigurált felügyeleti ponttal, ha engedélyezi a továbbfejlesztett HTTP-t a webhelyen. Ha a kibővített HTTP engedélyezve van, a helykiszolgáló létrehoz egy tanúsítványt a felügyeleti pont számára, amely lehetővé teszi, hogy biztonságos csatornán keresztül kommunikáljon.
Megjegyzés:
Ebben a forgatókönyvben nincs szükség HTTPS-kompatibilis felügyeleti pont használatára, de a továbbfejlesztett HTTP használata helyett támogatott. A HTTPS-kompatibilis felügyeleti pontok használatával kapcsolatos további információkért lásd: Felügyeleti pont engedélyezése HTTPS-hez.
2. forgatókönyv: Ügyfél és terjesztési pont közötti kapcsolat
Egy munkacsoport vagy Microsoft Entra csatlakoztatott ügyfél biztonságos csatornán keresztül hitelesítheti és letöltheti a tartalmat egy HTTP-hez konfigurált terjesztési pontról. Az ilyen típusú eszközök a HTTPS-hez konfigurált terjesztési pontokról is hitelesíthetik és tölthetik le a tartalmakat anélkül, hogy PKI-tanúsítványt kellene megadniuk az ügyfélen. Nehéz ügyfél-hitelesítési tanúsítványt hozzáadni egy munkacsoporthoz vagy Microsoft Entra csatlakoztatott ügyfélhez.
Ez a viselkedés magában foglalja az operációs rendszer központi telepítési forgatókönyveit, amikor a feladatütemezés rendszerindító adathordozóról, PXE-ről vagy Szoftverközpontból fut. További információ: Hálózati hozzáférési fiók.
3. forgatókönyv: Microsoft Entra eszközidentitás
Egy Microsoft Entra csatlakoztatott vagy hibrid Microsoft Entra eszköz, amelybe nem jelentkezett be Microsoft Entra felhasználó, biztonságosan kommunikálhat a hozzárendelt helyével. A felhőalapú eszközidentitás most már elegendő a CMG-vel és a felügyeleti ponttal való hitelesítéshez az eszközközpontú forgatókönyvek esetében. (A felhasználóközpontú forgatókönyvekhez továbbra is szükség van felhasználói jogkivonatra.)
Funkciók
Az alábbi Configuration Manager funkciók támogatják vagy továbbfejlesztett HTTP-t igényelnek:
- Felhőfelügyeleti átjáró
- Operációs rendszer üzembe helyezése hálózati hozzáférési fiók nélkül
- Társfelügyelet engedélyezése új, internetalapú Windows-eszközökön
- Alkalmazás-jóváhagyások e-mailben
- Felügyeleti szolgáltatás
- Nemrégiben csatlakoztatott konzolok megtekintése
- BitLocker felügyeleti kulcs helyreállítása (2103-es vagy újabb verzió)
- A Szoftverközpont felhasználó által elérhető alkalmazásai (2107-es és újabb verziók)
- Céges portál közösen felügyelt eszközökön (2107-es vagy újabb verzió)
Megjegyzés:
A szoftverfrissítési pont és a kapcsolódó forgatókönyvek mindig támogatták a biztonságos HTTP-forgalmat az ügyfelekkel és a felhőfelügyeleti átjáróval. Olyan mechanizmust használ, amely a tanúsítvány- vagy jogkivonat-alapú hitelesítéstől eltérő felügyeleti ponttal rendelkezik.
Nem támogatott forgatókönyvek
A továbbfejlesztett HTTP jelenleg nem biztosít minden kommunikációt Configuration Manager. Az alábbi lista összefoglal néhány olyan fő funkciót, amely még mindig HTTP.
- Ügyfelek közötti társközi kommunikáció tartalomhoz
- Állapotáttelepítési pont
- Távoli eszközök
- Jelentéskészítési szolgáltatási pont
Megjegyzés:
Ez a lista nem teljes.
Előfeltételek
HTTP-ügyfélkapcsolatokhoz konfigurált felügyeleti pont. Ezt a beállítást a felügyeleti pont szerepkör tulajdonságainak Általános lapján állíthatja be.
HTTP-ügyfélkapcsolatokhoz konfigurált terjesztési pont. Ezt a beállítást a terjesztési pont szerepkör tulajdonságainak Kommunikáció lapján állíthatja be. Ne engedélyezze az Ügyfelek névtelen csatlakozásának engedélyezése beállítást.
A Microsoft Entra hitelesítést igénylő forgatókönyvek esetén a felhőfelügyelethez Microsoft Entra azonosítót a webhely előkészítéséhez. Ha nem készíti fel a webhelyet az azonosító Microsoft Entra, továbbra is engedélyezheti a továbbfejlesztett HTTP-t.
Csak a 3. forgatókönyv esetében: A Windows 10 vagy újabb támogatott verzióját futtató és Microsoft Entra azonosítóhoz csatlakoztatott ügyfél. Az ügyfélnek szüksége van erre a konfigurációra Microsoft Entra eszközhitelesítéshez.
Megjegyzés:
A Configuration Manager-ügyfél által támogatottakon kívül nincsenek operációsrendszer-verzióra vonatkozó követelmények.
A hely konfigurálása
A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Helyek csomópontot. Jelölje ki a webhelyet, és válassza a menüszalag Tulajdonságok elemét .
Váltson a Kommunikációbiztonság lapra. Válassza a HTTPS vagy a HTTP lehetőséget. Ezután engedélyezze a Configuration Manager által létrehozott tanúsítványok használata HTTP-helyrendszerekhez beállítást.
Tipp
Várjon 30 percet, amíg a felügyeleti pont megkapja és konfigurálja az új tanúsítványt a helyről.
A kibővített HTTP-t a központi adminisztrációs helyhez (CAS) is engedélyezheti. Használja ugyanezt a folyamatot, és nyissa meg a CAS tulajdonságait. Ez a művelet csak az SMS-szolgáltató szerepkörhöz engedélyezi a továbbfejlesztett HTTP-t a CAS-ban. Ez nem egy globális beállítás, amely a hierarchia összes webhelyére vonatkozik.
További információ arról, hogy az ügyfél hogyan kommunikál a felügyeleti ponttal és a terjesztési ponttal ezzel a konfigurációval: Kommunikáció az ügyfelektől a helyrendszerekhez és szolgáltatásokhoz.
A tanúsítvány ellenőrzése
Ezeket a tanúsítványokat a Configuration Manager-konzolon tekintheti meg. Lépjen az Adminisztráció munkaterületre, bontsa ki a Biztonság csomópontot, és válassza a Tanúsítványok csomópontot . Keresse meg az SMS-kiállító főtanúsítványt és az SMS-kibocsátó gyökér által kiadott helykiszolgálói szerepkörtanúsítványokat.
Ha engedélyezi a továbbfejlesztett HTTP-t, a helykiszolgáló létrehoz egy SMS-szerepkör SSL-tanúsítvány nevű önaláírt tanúsítványt. Ezt a tanúsítványt a fő SMS-kiállító tanúsítvány állítja ki. A felügyeleti pont hozzáadja ezt a tanúsítványt a 443-at porthoz kötött alapértelmezett IIS-webhelyhez.
A konfiguráció állapotának megtekintéséhez tekintse át az mpcontrol.log fájlt.
Fogalmi diagram
Ez a diagram a Configuration Manager továbbfejlesztett HTTP-funkcióinak néhány fő aspektusát foglalja össze és jeleníti meg.
A Microsoft Entra-azonosítóval való kapcsolat ajánlott, de nem kötelező. Lehetővé teszi az Microsoft Entra hitelesítést igénylő forgatókönyveket.
Ha engedélyezi a helybeállítást a továbbfejlesztett HTTP-hez, a hely önaláírt tanúsítványokat ad ki a helyrendszereknek, például a felügyeleti pontnak és a terjesztési pont szerepköreinek.
A HTTP-kapcsolatokhoz konfigurált helyrendszerek használata esetén az ügyfelek HTTPS-kapcsolaton keresztül kommunikálnak velük.
Gyakori kérdések
Mik a továbbfejlesztett HTTP előnyei?
A fő előnye a tiszta HTTP használatának csökkentése, amely egy nem biztonságos protokoll. Configuration Manager alapértelmezés szerint a biztonságra törekszik, és a Microsoft szeretné megkönnyíteni az eszközök biztonságossá tételét. A PKI-alapú HTTPS engedélyezése biztonságosabb konfiguráció, de ez sok ügyfél számára összetett lehet. Ha nem tudja elvégezni a HTTPS-t, engedélyezze a továbbfejlesztett HTTP-t. A Microsoft akkor is javasolja ezt a konfigurációt, ha a környezet jelenleg nem használja az azt támogató funkciókat.
Fontos
A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.
A bővített HTTP engedélyezéséhez Microsoft Entra azonosítót kell használnom?
Nem. A továbbfejlesztett HTTP számos forgatókönyve és funkciója Microsoft Entra hitelesítésre támaszkodik. A továbbfejlesztett HTTP-t anélkül engedélyezheti, hogy regisztrálja a webhelyet az azonosító Microsoft Entra. Ezután támogatja az olyan szolgáltatásokat, mint az adminisztrációs szolgáltatás, valamint a hálózati hozzáférési fiók iránti korlátozott igény. Csak akkor van szüksége Microsoft Entra azonosítóra, ha az egyik kiegészítő funkcióhoz szükség van rá.
Megjegyzés:
Még ha közvetlenül nem is használja a REST API felügyeleti szolgáltatást, néhány Configuration Manager szolgáltatás natív módon használja, beleértve a Configuration Manager konzol egyes részeit is.
Hogyan kommunikálnak az ügyfelek a helyrendszerekkel?
Ha engedélyezi a továbbfejlesztett HTTP-t, a hely tanúsítványokat ad ki a helyrendszereknek. Például a felügyeleti pont és a terjesztési pont. Ezután ezek a helyrendszerek támogatják a biztonságos kommunikációt a jelenleg támogatott forgatókönyvekben.
Ügyfél szempontjából a felügyeleti pont minden ügyfelet jogkivonattal ad ki. Az ügyfél ezt a jogkivonatot használja a helyrendszerekkel való kommunikáció biztonságossá tételéhez. Ez a viselkedés az operációs rendszer verziófüggetlen, a Configuration Manager-ügyfél által támogatottaktól eltérő.
Ha egyes helyrendszerek már HTTPS-alapúak, engedélyezhetem a továbbfejlesztett HTTP-t?
Igen, A helyrendszerek mindig a PKI-tanúsítványt részesítik előnyben. Például az egyik felügyeleti pont már rendelkezik PKI-tanúsítvánnyal, mások viszont nem. Ha engedélyezi a továbbfejlesztett HTTP-t a webhelyen, a HTTPS felügyeleti pont továbbra is a PKI-tanúsítványt használja. A többi felügyeleti pont a hely által kibocsátott tanúsítványt használja a továbbfejlesztett HTTP-hez.